安全的本質是攻防實戰。無論是安全研發,還是安全服務,實戰才是硬道理。網絡安全的學習過程,就是不斷在實戰演練中積累實操經驗的過程。除了通過開源安全項目學習外,通過在CNVD漏洞平台嘗試挖洞是一條高效的實戰路徑。不僅能提升實戰經驗,如果發現了原創漏洞還能夠獲得相應證書。總的來說有以下好處:① CNVD原創漏洞證書可以通過證書編號到官網查詢,是漏洞挖掘的能力證明。② 在安全求職就業方面,比如將其寫在簡歷中對於找工作是加分項。③ 除此之外,在攻防演練、滲透測試等安全業務合作中,也屬於「硬通貨」。CNVD是國家信息安全漏洞共享平台(China National Vulnerability Database,簡稱 CNVD),是由國家計算機網絡應急技術處理協調中心(中文簡稱國家互聯網應急中心,英文簡稱 CNCERT)聯合國內重要信息系統單位、基礎電信運營商、網絡安全廠商、軟件廠商和互聯網企業建立的國家網絡安全漏洞庫。CNVD整合了國家政府部門、重要信息系統用戶、運營商、主要安全廠商、軟件廠商、科研機構、公共互聯網用戶等等,共同建立了軟件安全漏洞統一收集驗證、預警發布及應急處置體系,既提升我國在安全漏洞方面的整體研究水平和及時預防能力,也帶動國內相關安全產品的發展。CNVD 漏洞主要分為事件型漏洞和通用型漏洞。挖洞思路無非以下三種:1、查找網上公開漏洞庫或漏洞平台,如:SeeBug 漏洞庫、Exploit-db 漏洞庫、PeiQi 漏洞庫、CVND/CVE/CNNVD 平台等,查看國內外廠商已爆出的安全漏洞(Nday漏洞),針對公司註冊資金5千萬及以上的廠商,根據已爆出安全漏洞的系統再去挖掘出新的漏洞(通用或事件型漏洞)。2、通過天眼查、企查查、愛企查等平台,篩選註冊資金5千萬及以上的公司,到網絡空間資產測繪系統(FoFa、Zoomeye、360 等)搜索該公司相關通用資產,挖掘通用型漏洞(中危及以上)。3、針對國內通信運營商(中國移動、中國電信、中國聯通、中國鐵塔),涉及黨政機關、重要行業單位、科研院所、重要企事業單位(如:中央國有大型企業、部委直屬事業單位等),挖掘事件型漏洞(高危)。CNVD 原創漏洞審核處置流程涵蓋審核歸檔、驗證處置、公開披露、評分認證等多個環節。CNVD 原創漏洞證書是為了肯定漏洞報送者(白帽子)在防範漏洞安全風險的積極作用,由 CNVD 官方製作並發布給報送者的電子證書。看到這裡,如果你想詳細學習CNVD漏洞實操案例,進一步了解網絡安全實戰技術,那麼歡迎來到 51CTO《網絡安全3天實戰營》課堂。
本訓練營涵蓋大量經典實戰案例,旨在幫助學員快速學習CNVD實操要義,在生動的案例中對網絡安全挖洞工作產生直觀的體驗。如何快速學習網絡安全技術?如果你是一個安全行業新人,我推薦你先從網絡安全或者Web安全/滲透測試這兩個方向先學起,原因如下:
第一,發展相對成熟入門比較容易。這兩個方向當前有比較成熟的學科知識體系,對新手比較友好,入門學習簡單;
第二,市場需求量高。這兩個方向在企業招聘和項目工作中應用廣泛,如各大企業經常招募的安全服務工程師、Web安全工程師、滲透測試工程師、安全運維工程師等職位,主要技能棧就是網絡安全和Web安全。
第三,薪資待遇好。這兩個方向的崗位薪資在安全行業也是非常可觀的。
值得一提的是,學網絡安全,是先網絡後安全;學Web安全,也是先Web再有安全。安全不是獨立存在的,而是建立在其他技術基礎之上的上層應用技術。脫離了這個基礎,就很容易變成紙上談兵,變成「知其然,不知其所以然」,在安全的職業道路上也很難走遠。另外,學習Web安全方向需要有一定的編程基礎,如果對代碼沒興趣,建議走[網絡安全]方向,學習網絡安全方向不需要太多計算機編程功底(不是走研發路線而是走安全服務工程師路線),更多需要掌握常見安全網絡架構、對網絡協議和故障能抓包分析,對網絡和安全設備能熟悉配置。綜上,如果你是原本從事網工運維,那麼可以選擇網絡安全方向入門;如果你原本從事程序開發,推薦選擇Web安全/滲透測試方向入門。當然學到一定程度、或者有了一定工作經驗,不同方向的技術耦合會越來越高,各個方向都需要會一點。為普及網絡安全行業技術,51CTO聯合國內一線網絡安全實戰大牛陳鑫傑老師,深度結合國內一線互聯網、網絡安全、政企單位的安全項目需求,經過為期1年的打磨與迭代,共同研發推出了這套深入淺出的網絡安全職業實戰課程《網絡安全3天實戰營》。
這門課真正能夠幫助你科學體系化地學習攻防實戰、信息搜集、漏洞挖掘等前沿安全技能,讓你能夠更輕鬆更快捷進入安全行業,改變你的職業軌跡。本安全體驗營涵蓋hvv理論與實操詳解、CNVD原創漏洞挖掘案例分享、開源情報搜集OSINT實戰應用等多個熱門前沿安全專題。完成本體驗營3天所有課程及作業考核,學員將學習一名入門級白帽子黑客所具備的技能:• CNVD國家信息安全漏洞共享平台原創漏洞挖掘案例分享我們的主講老師陳鑫傑老師,具有多年一線互聯網、金融 、政府等安全實戰項目經驗,擅長網絡安全、Web安全、滲透測試、數字取證等領域,曾主導多個國土、電力等千萬級項目;是全國多個地區的網警技術顧問,較早將網絡安全技術應用於反詐防騙領域,多次協助警方破獲大型詐騙團伙。得益於多年跨領域跨行業的網絡安全實踐經驗,與各種黑灰產和電信詐騙的「貼身肉搏」經驗,陳老師能夠帶領大家以」黑客「視角來學習安全知識,從原理到實踐,從攻擊到防禦,真正做到「知己知彼」,而非「紙上談兵」。
留言列表